Я читал из Вот который:
На локальном компьютере администратор может настроить приложение для работы в качестве локальной службы, сетевой службы или локальной системы. Эти учетные записи служб просты в настройке и использовании, но обычно используются несколькими приложениями и службами, и ими нельзя управлять на уровне домена.
Я просто не понимаю, почему этими учетными записями нельзя управлять на уровне домена, ведь все они имеют хорошо известные идентификаторы безопасности?
Спасибо за ваше время.
Это «универсальные хорошо известные SID»; они одинаковы для всех машин и не имеют компонента «идентификатор домена», поэтому их нельзя связать с каким-либо конкретным доменом. (В противном случае присоединение машины к домену нарушило бы много всего, особенно списков контроля доступа.)
Например, SID обычного пользователя выглядит как S-1-5-21-2814603912-1974576649-1524133500-1001.
Вот, 21 SECURITY_NT_NON_UNIQUE, 2814603912-1974576649-1524133500 это идентификатор домена и 1013 относительный идентификатор.
В сравнении, LOCAL SYSTEM имеет SID S-1-5-18.
FWIW, эти три аккаунта даже не настоящие аккаунты в SAM. Они предопределены в самой Windows.